Was ist ein Spoofing-Angriff? Erkennung und Prävention
IP-Adressen-Spoofing-Angriffe
In einem IP-Spoofing-Angriff sendet ein Angreifer IP-Pakete von einer verschleierten IP-Adresse, um seine wahre Identität zu verbergen. Angreifer nutzen IP-Adressen-Spoofing-Angriffe am häufigsten bei DoS-Angriffen, die ihr Ziel mit Netzwerkverkehr überwältigen. Bei einem derartigen Angriff setzt ein bösartiger Akteur eine verschleierte IP-Adresse ein, um Pakete an mehrere Netzwerkempfänger zu senden. Der Inhaber der realen IP-Adresse wird dann von allen Reaktionen überflutet, was möglicherweise eine Störung des Netzwerkdienstes bewirkt. Ein Angreifer kann auch die IP-Adresse eines Computers oder Geräts verschleiern, um sich Zugriff auf ein Netzwerk zu beschaffen, das Benutzer oder Geräte auf der Grundlage ihrer IP-Adresse authentifiziert.
Anrufer-ID Spoofing-Angriffe
Spoofing-Angriffe können auch als Telefonanrufe eingehen. Bei einem Anrufer-ID-Spoofing-Angriff gibt der Betrüger vor, der Aufruf ginge von einer dem Empfänger bekannten und vertrauenswürdigen Nummer ein, oder alternativ einer Nummer, die mit einem bestimmten geografischen Standort verbunden ist. Ein Anrufer-ID Spoofer kann sogar eine Nummer einsetzen, die die gleiche Vorwahl und die gleichen Anfangsziffern der Telefonnummer des Opfers hat, in der Hoffnung, dass dieses den Anruf in der Annahme annimmt, dass es sich um eine vertraute Nummer handelt. Diese Praxis wird als „Neighbor Spoofing“ bezeichnet.
Wenn ein Opfer des Anrufer-ID-Spoofing den Anruf entgegennimmt, kann der Betrüger u. U. sich als Darlehensbeauftragten oder einen anderen Vertreter einer offiziellen Einrichtung ausgeben. Der vermeintliche Vertreter wird dann versuchen, das Opfer zu überzeugen, vertrauliche Informationen zu übermitteln, die zum Betrug oder zur Ausführung anderer Angriffe eingesetzt werden.
E-Mail-Adressen-Spoofing-Angriffe
E-Mail-Spoofing beinhaltet den Versand von E-Mails unter Verwendung von falschen Absenderadressen. Angreifer nutzen E-Mail-Adressen-Spoofing häufig in sozial orchestrierten Phishing-Angriffen in der Hoffnung, die Empfänger davon zu überzeugen, dass diese E-Mail legitim ist, da sie von einer vertraulichen Quelle stammt. Wenn der Angreifer in der Lage ist, die Opfer dazu zu bewegen, einen bösartigen Link in der E-Mail anzuklicken, kann er die Anmeldedaten, finanziellen Angaben oder Firmendaten stehlen. Phishing-Angriffe über E-Mail-Spoofing können den Computer des Opfers auch mit Malware infizieren, oder in Fällen wie dem Business Email Compromise (BEC) die Opfer anweisen, Geld zu überweisen. Phishing-Varianten wie Spear-Phishing oder Whaling sind möglicherweise sorgfältig auf bestimmte Einzelpersonen im Unternehmen zugeschnitten und sind tendenziell sogar erfolgreicher.
Website-Spoofing-Angriffe
Bei einem Website-Spoofing-Angriff wird der Betrüger versuchen, eine bösartige Website genau wie ein legitimes Modell zu gestalten, das das Opfer kennt und dem es vertraut. Website-Spoofing ist häufig mit Phishing-Angriffen verbunden. Wenn Opfer auf einen Link in einer Phishing-E-Mail klicken, gelangen sie über den Link auf eine Website, die so aussieht wie eine von ihnen genutzte Website – z. B. die Login-Seite ihrer Bank. Dort sehen die Opfer genau das gleiche Logo, das Branding und die von ihnen erwartete Benutzeroberfläche. Wenn sie dann ihre Anmeldedaten oder andere personenbezogene Daten eingeben, wird die Website diese Informationen jedoch für Angriffe oder Betrugsversuche abspeichern.
ARP Spoofing-Angriffe
Address Resolution Protocol (ARP) löst eine IP-Adresse auf seine physische Media Access Control (MAC) auf, um Daten über ein Local Area Network (LAN) zu übermitteln. Bei einem ARP-Spoofing-Angriff sendet ein bösartiger Akteur verschleierte ARP-Nachrichten über ein lokales Netzwerk mit dem Ziel, seine eigene MAC-Adresse mit einer legitimen IP-Adresse zu verknüpfen. Auf diese Weise kann der Angreifer Daten stehlen oder modifizieren, die an den Inhaber der betreffenden IP-Adresse gerichtet waren.
Ein Angreifer, der als legitimer Host auftreten möchte, könnte auch auf Anfragen eingehen, auf die er mithilfe der eigenen MAC-Adresse nicht reagieren können sollte. Mit wenigen genau platzierten Paketen kann ein Angreifer den privaten Datenverkehr zwischen zwei Hosts aufspüren. Aus diesem Datenverkehr können wertvolle Daten extrahiert werden, z. B. der Austausch von Sitzungs-Tokens, die den vollständigen Zugriff auf Anwendungskonten gewährleisten, auf die ein Angreifer niemals Zugriff haben sollte. ARP-Spoofing wird manchmal in MITM-Angriffen, DoS-Angriffen und Sitzungs-Hijacking eingesetzt.
DNS-Server-Spoofing-Angriffe
Das Domain Name System (DNS) löst Domänennamen in IP-Adressen auf ähnliche Weise auf, wie ARP IP-Adressen in MAC-Adressen auflöst. Bei der Durchführung eines DNS-Spoofing-Angriffs versucht ein Angreifer korrupte DNS-Cachedaten in einen Host einzuführen, um den Domänennamen des Hosts zu imitieren, z. B. Sobald dieser Domänenname erfolgreich verschleiert wurde, kann der Angreifer ihn einsetzen, um ein Opfer zu täuschen oder unbefugten Zugriff auf einen anderen Host zu erhalten.
DNS-Spoofing kann bei einem MITM-Angriff zum Einsatz kommen, bei dem ein Opfer unbeabsichtigt vertrauliche Informationen an einen bösartigen Host versendet, in der vermeintlichen Annahme, dass es sich um eine vertrauenswürdige Quelle handelt. Auch kann das Opfer auf eine Website umgeleitet werden, die Malware enthält. Ein Angreifer, der bereits erfolgreich eine IP-Adresse verschleiert hat, könnte die IP-Adresse eines DNS ganz leicht auflösen, indem er die IP-Adresse eines DNS-Servers in seine eigene IP-Adresse auflöst.
So erkennen Sie Spoofing-Angriffe
Die beste Möglichkeit, von Seiten des Benutzers einen Spoofing-Angriff zu verhindern, ist es auf Anzeichen zu achten, dass ein Verschleierungsangriff vorbereitet wird. Ein Phishing-Angriff über E-Mail-Spoofing verwendet beispielsweise häufig eine ungewöhnliche Grammatik, schlechte Rechtschreibung oder ungelenke Sprachwendungen. Die enthaltene Nachricht klingt möglicherweise dringend und kann dazu beitragen, Panik zu erzeugen, damit der Empfänger sich aufgefordert fühlt, sofort zu handeln. Bei weiterer Überprüfung lässt sich möglicherweise auch feststellen, dass die E-Mail-Adresse des Absenders in einem Buchstaben anders lautet oder dass die in der Nachricht enthaltene URL leicht anders geschrieben ist, als das normalerweise der Fall ist. Eine erstklassige Lösung zur Ereigniserkennung und Reaktion kann Ihr Unternehmen weiter schützen, indem es Sie über eine anomale Benutzeraktivität informiert.
Wenn Sie den Eingang einer verschleierten Nachricht vermuten, ganz gleich, ob sie über E-Mail, SMS oder einen anderen Kanal eingegangen ist, vermeiden Sie es, in der Nachricht auf Links oder Anlagen zu klicken. Um zu überprüfen, ob die Nachricht korrekt ist, wenden Sie sich über unabhängig vorliegende oder gefundene Kontaktdaten an den Absender. Verwenden Sie keine Telefonnummern oder andere Adressen in der Nachricht, da diese Sie möglicherweise nur mit dem Angreifer verbinden. Wenn die Nachricht Sie auffordert, sich in einem Konto anmelden, klicken Sie auch hier nicht auf den Link, sondern öffnen Sie in Ihrem Browser ein separates Register oder Fenster, und loggen sich so ein, wie Sie es normalerweise tun würden.
So vermeiden Sie Spoofing-Angriffe
Intelligente Sicherheitstools können Ihnen dabei helfen, Spoofing-Angriffe zu verhindern. Ein Spam-Filter verhindert beispielsweise, dass die meisten Phishing-E-Mails jemals Ihren Posteingang erreichen. Einige Unternehmen und sogar einige Netzwerkbetreiber verwenden ähnliche Software, um Spam-Anrufe zu blockieren, bevor diese die Telefone ihrer Benutzer erreichen. Spoofing-Erkennungssoftware bietet möglicherweise zusätzlichen Schutz vor einigen der oben genannten Spoofing-Angriffe und verbessert Ihre Fähigkeit, diese zu erkennen und zu blockieren, bevor sie Schaden anrichten.
Bestimmte Best-Practices können auch die Wahrscheinlichkeit mindern, dass Sie auf einen Spoofing-Angriff hereinfallen. Vermeiden Sie es soweit möglich, sich in Ihrem Netzwerk auf Vertrauensbeziehungen zu verlassen. Andernfalls nutzen Angreifer diese Beziehungen aus, um erfolgreiche Spoofing-Angriffe zu inszenieren. Die Paktetfilterung kann einen IP-Spoofing-Angriff verhindern, da sie in der Lage ist, Pakete zu filtern und zu blockieren, die widersprüchliche Quellenadressendaten enthalten. Die Verwendung von kryptographischen Netzwerkprotokollen wie HTTP Secure (HTTPS) und Secure Shell (SSH) können Ihrer Umgebung eine weitere Schutzebene hinzufügen.
Diese Maßnahmen helfen nach einem Ransomware-Angriff
Geräte schnell isolieren: Eine Ransomware sollte sich nicht weiter ausbreiten können, als bereits geschehen. Daher sollten Administratoren betroffene Systeme so schnell wie möglich vom Netzwerk isolieren. Vor allem bei den Aufräumarbeiten nach der Ransomware-Attacke hilft es zu verhindern, dass sich die erpresserische Malware weiter ausbreitet.
Den Angriffsvektor verstehen: Sind die betroffenen Geräte isoliert, ist es wichtig zu verstehen, wie es zu dem Vorfall kommen konnte. Das hilft zum einem, den Vorfall zu bewältigen. Zudem liefert es wertvolle Lektionen für die Zukunft. Es gilt also herauszufinden: Wer war Patient Zero im Netzwerk?
Backups sichern und überprüfen: Applikationen und Server lassen sich wieder einrichten, Daten sind aber unersetzlich. Ohne Backups ist es nicht mehr möglich, sie sicherzustellen. Deshalb gilt als Maßnahme, sie erst einmal vom Netz zu nehmen. Angreifer suchen als Teil ihres Angriffs gezielt nach Backups. Sind diese weiter online, besteht die Gefahr, dass sie in den Angriff einbezogen werden. Noch besser ist es natürlich, von vorneherein Offline-Backups an einem physikalisch getrennten Ort vorzuhalten. Die 3-2-1-Regel des Backups ist gerade für das Sichern von Daten gegen erpresserische Angriffe eine Selbstverständlichkeit. Damit läuft eine Lösegeldforderung unter Umständen -zumindest was den Datenbestand trifft - ins Leere. IT-Administratoren können sich stattdessen darum kümmern, die Systeme wieder aufzubauen.
Projekte und geplante Aufgaben stoppen: Eine Ransomware-Attacke ist ein Notfall und erfordert das Bündeln aller Ressourcen. Ein Umbau der der IT-Architektur, wie Migrationen auf neue Umgebungen, oder das Installieren neuer Applikationen und Server sollten sofort gestoppt werden. Solche Projekte könnten der Malware helfen, sich weiter auszubreiten. Ebenso wichtig ist es, terminierte Aufgaben, zum Beispiel Backups, zu stoppen. Denn in deren Verlauf kann sich die erpresserische Malware weiter ausbreiten.
Potenziell kompromittierte Bereiche unter Quarantäne stellen: Generell sollte man direkt nach einem Angriff keine Möglichkeit ausschließen und alle potenziell betroffenen Teile der Infrastruktur unter Quarantäne stellen. Das heißt, alles erst einmal vom Netz nehmen und einzeln untersuchen, bevor es wieder zum Einsatz kommen kann.
Nach dem Angriff ist vor dem Angriff: Passwörter ändern: Vorsicht ist besser als Nachsicht. Zu Beginn eines Vorfall ist oft noch nicht komplett klar, wie es dazu kommen konnte. War es lediglich eine einfacher Angriff? Oder handelte es sich um eine komplexe Attacke, die möglich war, weil der Angreifer Authentifikationsdaten erbeutet hatte? Wen dem so war, kann er immer wieder den nächsten Versuch starten. Es ist daher auf jeden Fall sinnvoll, die Passwörter systemkritischer Nutzerkonten zu ändern.
10 Tipps zur Cyber-Sicherheit für Unternehmen
10 Tipps zur Cyber-Sicherheit für Unternehmen
Auch in kleinen und mittelgroßen Unternehmen schreitet die Digitalisierung rasant voran und eröffnet gerade diesen ganz neue Chancen. Doch unzureichend geschützte Systeme bieten Cyber-Kriminellen viele Möglichkeiten, sensible Daten auszuspähen und Geräte oder Prozesse zu sabotieren. Hinzu kommt, dass ein Unternehmen alle seine potenziellen Schwachpunkte absichern muss – denn einem Angreifer genügt es, eine einzige ausfindig zu machen. Daher ist ein umfassendes Sicherheitskonzept so wichtig.
Mit den nachfolgenden 10 Tipps zeigen wir Ihnen, wo Sie ansetzen können, um einen umfassenden Schutz aufzubauen. Oder nutzen Sie sie als Checkliste, ob jedem dieser wichtigen Aspekte neben dem Tagesgeschäft auch immer noch die gebührende Aufmerksamkeit zuteil wird. Denn Cyber-Sicherheit greift nur, wenn man sie als Herausforderung versteht, der man sich gemeinsam und tagtäglich aufs Neue stellt – und wenn sie fest in der Strategie, der Kultur und den Prozessen eines Unternehmens verankert ist.
So schützen Sie Ihr Unternehmen
Tipp 1: Cyber-Sicherheit ist Chefinnen- und Chefsache!
Wer von der Digitalisierung profitieren will, muss Informationssicherheit als dafür unabdingbare Voraussetzung verstehen und umsetzen. Informationssicherheit ist ein strategisches Thema und damit eine Leitungsaufgabe für das Topmanagement.
Tipp 2: Cyber-Resilienz erhöhen!
Bereiten Sie Ihr Unternehmen auf mögliche Vorfälle vor. Halten Sie Übungen ab, spielen Sie regelmäßig neue Szenarien durch. Setzen Sie Krisenreaktionsmechanismen auf: Wer darf entscheiden, ob der Webserver heruntergefahren wird? Welche Netzwerksegmente dürfen offline gestellt werden? Wer ist im Notfall außerhalb der Bürozeiten erreichbar, auch ohne funktionierendes Netzwerk? Wer ist befugt, Entscheidungen zu treffen?
Tipp 3: Netzwerke schützen Netzwerke!
Der Austausch zu Bedrohungen und vorbildlichen Absicherungen über die Unternehmensgrenzen hinweg ist ein wichtiger Baustein, um zielführende Schutzmaßnahmen zu etablieren. Werden Sie Mitglied im UP KRITIS, der öffentlich-privaten Kooperation der Betreiber Kritischer Infrastrukturen mit den zuständigen staatlichen Stellen, oder in der Allianz für Cyber-Sicherheit, den Plattformen des BSI für Information und Austausch.
Tipp 4: Managen Sie Cyber-Risiken!
Machen Sie kontinuierliche Bestandsaufnahmen der konkreten Bedrohungslage Ihres Unternehmens und setzen Sie entsprechende technische, organisatorische und prozessuale Schutzmaßnahmen um.
Tipp 5: Schützen Sie die „Kronjuwelen“!
Nicht alle Daten sind gleich wichtig oder für den Unternehmenserfolg entscheidend. Erstellen Sie ein Inventar der in Ihrem Unternehmen vorhandenen Daten und klassifizieren Sie diese nach Wichtigkeit. Die wertvollsten Daten sollten auch den höchsten Schutz genießen.
Tipp 6: Sichern Sie Ihre Daten!
Legen Sie Sicherungskopien (Backups) an und testen Sie diese. Cyberangriffe mit Erpressungssoftware (sogenannte Ransomware) sind für Cyber-Kriminelle ein einträgliches Geschäftsmodell, das Unternehmen an den Rand ihrer Existenz bringen kann. Wer seine Daten sichert, kann nicht erpresst werden. Backups sollten regelmäßig angelegt und regelmäßig auf Funktionalität, Konsistenz und Aktualität getestet werden.
Tipp 7: Nehmen Sie die Beschäftigten mit und schulen Sie regelmäßig!
Cyber-Sicherheit zu realisieren heißt auch, dass Abläufe komplexer werden können. Zudem können auch Mitarbeitende Ziel von Cyber-Angriffen sein. Daher ist die Sensibilisierung und die regelmäßige Schulung der Mitarbeitende durch interne Awareness-Kampagnen zu aktuellen IT-Sicherheitsthemen oder Angriffsmethoden ein wichtiger Baustein der Cyber-Sicherheit.
Tipp 8: Patchen, patchen, patchen!
Verschaffen Sie sich einen Überblick über die im Unternehmen eingesetzte Hard- und Software und sorgen Sie dafür, dass von den Herstellern bereitgestellte Sicherheitsupdates schnellst möglich eingespielt werden. Wenn die Software/Firmware auf dem neuesten Stand ist, ist das Risiko eines erfolgreichen Cyber-Angriffs signifikant geringer.
Tipp 9: Machen Sie Verschlüsselung zum Normalfall!
Denn Verschlüsselung schützt vor Informationsabfluss. Der durchgehende Einsatz sicherer Kryptografie darf in Deutschland nicht mehr die Ausnahme sein, sondern sollte der Normalfall werden.
Tipp 10: Nutzen Sie die Angebote des BSI!
IT-Sicherheit in einem Unternehmen zu etablieren und nachhaltig sicherzustellen, ist eine komplexe Aufgabe. Hierbei gibt Ihnen das BSI als nationale Cyber-Sicherheitsbehörde Hilfestellung: Unter www.bsi.bund.de finden Sie Informationen zu Standards und Initiativen, Lageberichte und Empfehlungen sowie eine Fülle vertiefender Publikationen. Als Teilnehmer der Allianz für Cyber-Sicherheit profitieren Sie darüber hinaus vom persönlichen Dialog mit Experten und anderen Anwendern aus der Wirtschaft.
